Sommaire
- Pourquoi le RGPD concerne la carte de visite
- Les 4 exigences clés à vérifier
- Hébergement : pourquoi la juridiction du serveur compte (et le CLOUD Act)
- DPA (Data Processing Agreement) : ce que c’est et ce que vous devez exiger
- Sub-processors : la chaîne de traitement à connaître
- Consentement granulaire vs checkbox unique
- Droits utilisateurs : accès, rectification, effacement, portabilité
- Checklist de validation en 5 minutes
- Que dit la CNIL ?
- FAQ
1. Pourquoi le RGPD concerne la carte de visite
Quand un prospect tape votre carte sur son téléphone, son téléphone ouvre votre profil. Jusque-là, peu de données personnelles côté lui (à part son IP et user-agent, qui sont anonymisables).
Mais :
- Si votre carte propose un formulaire “Laissez-moi vos coordonnées” → vous collectez ses données personnelles (nom, email, téléphone)
- Si vous activez l’analytique avancée → vous capturez son IP, sa géolocalisation approximative, son device
- Si vous enrichissez automatiquement les leads (via Pappers, Apollo) → vous traitez des données tierces accessibles publiquement, ce qui reste soumis au RGPD
Le RGPD s’applique dès qu’une donnée permet d’identifier directement ou indirectement une personne physique. Votre carte de visite digitale est donc concernée.
Qui est responsable juridiquement ?
- Vous (utilisateur de la carte) êtes responsable du traitement (data controller) pour les leads que vous capturez
- Votre fournisseur (Wavydream, Mobilo, Popl…) est sous-traitant (data processor) — il traite les données pour votre compte
- L’Article 28 RGPD régit cette relation. Sans contrat conforme (DPA), vous êtes en infraction.
2. Les 4 exigences clés à vérifier
Avant d’acheter ou de déployer une carte de visite NFC pour vos équipes, vérifiez ces 4 points :
1. Localisation des données. Hébergement en Union Européenne, sans réplication transatlantique.
2. DPA signé. Contrat Article 28 RGPD avec le fournisseur. Idéalement personnalisé à votre logo et signataire.
3. Sub-processors transparents. Liste publique et versionnée des sous-traitants utilisés par votre fournisseur. Notification 30 jours avant tout changement.
4. Consentement granulaire. Consentements séparés pour chaque finalité (marketing, commercial, newsletter), pas une checkbox unique “j’accepte”.
Bonus : présence d’un référent données (DPO ou équivalent) joignable par email.
3. Hébergement : pourquoi la juridiction du serveur compte
Vos données peuvent être physiquement à Paris et juridiquement aux États-Unis. Voilà comment.
Le CLOUD Act
Loi américaine adoptée en 2018 (Clarifying Lawful Overseas Use of Data Act), elle permet aux autorités fédérales US (FBI, NSA, DEA…) d’exiger d’une entreprise sous juridiction américaine la communication de données qu’elle détient, où qu’elles soient stockées dans le monde.
Conséquence concrète : un fournisseur américain (Popl, Wave Connect, HiHello…) peut être contraint de livrer vos données à une autorité US, même si ses serveurs sont à Paris ou Frankfurt. Il ne peut pas vous prévenir (la demande peut inclure une gag order qui interdit la communication). Voir notre comparatif Wavydream vs Popl pour le détail du risque CLOUD Act sur un cas concret.
L’arrêt Schrems II (2020)
La Cour de Justice de l’UE a invalidé le Privacy Shield (le cadre qui permettait les transferts de données UE → US). Depuis, tout transfert vers les US doit s’appuyer sur des clauses contractuelles types (SCC) ET des mesures supplémentaires.
Conséquence concrète : la CNIL et ses homologues européens peuvent considérer comme illicite l’utilisation d’un fournisseur US pour stocker des données européennes, sauf garanties techniques (chiffrement bout-en-bout sans clé chez le fournisseur, ce que ne font pas les SaaS classiques).
Pourquoi un fournisseur européen change tout
Une société de droit luxembourgeois (comme Wavydream), allemand (comme Mobilo), français (Doctolib, Pennylane) ou irlandais n’est pas soumise au CLOUD Act. Elle est soumise au RGPD et à la juridiction de son pays — toutes deux européennes.
Conclusion DPO : pour les données B2B sensibles (leads commerciaux, attribution salons, données enrichies entreprise), un fournisseur européen est la seule option sans risque juridique.
4. DPA (Data Processing Agreement) : ce que c’est
Le DPA est le contrat exigé par l’Article 28 du RGPD entre le responsable du traitement (vous) et le sous-traitant (le fournisseur de la carte). Il doit contenir au minimum :
- L’objet du traitement (par exemple : hébergement des profils digitaux et des leads collectés)
- La durée du traitement
- La nature et la finalité (commercial, marketing…)
- Le type de données traitées
- Les catégories de personnes concernées (prospects, clients, collaborateurs)
- Les obligations des deux parties
Ce que vous devez exiger d’un bon DPA :
- Signature électronique simple — pas 80 pages à imprimer
- Liste des sub-processors annexée avec engagement de notification 30 jours avant tout changement
- Clause d’audit — vous avez le droit (théorique) de vérifier la conformité du fournisseur
- Notification d’incident sous 72 heures (Article 33 RGPD)
- Conditions de fin de contrat — restitution ou destruction des données dans un délai défini (souvent 30 jours)
Drapeau rouge : un fournisseur qui propose un DPA standardisé en anglais juridique de 60 pages, signable seulement par avenant manuel envoyé par PDF. C’est un signal qu’il n’a pas pensé son outil pour le marché européen.
5. Sub-processors : la chaîne de traitement
Quand vous signez avec Wavydream (par exemple), vos données passent par plusieurs sous-traitants techniques. À titre indicatif :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données, API, auth | Paris |
| Resend | Emails transactionnels | UE |
| Vercel | Hébergement frontend | UE (à vérifier) |
| Anthropic | Génération IA bio (Pro+) | Traitement transitoire |
Ce que vous devez exiger :
- Liste publique des sub-processors actuels (sur une page comme
/securiteou en annexe DPA) - Notification 30 jours avant tout ajout ou changement
- Droit d’opposition si un nouveau sub-processor ne vous convient pas (résiliation sans frais)
Pourquoi c’est critique : si un de vos sub-processors change pour un acteur non-UE, votre conformité bascule sans que vous le sachiez. La transparence sur la chaîne de traitement est la seule défense.
6. Consentement granulaire vs checkbox unique
Le RGPD impose un consentement libre, spécifique, éclairé et univoque (Article 4-11 et 7). La CJUE a précisé dans l’arrêt Planet49 (2019) que :
- Une checkbox pré-cochée ne vaut pas consentement
- Un consentement global (“j’accepte tout”) est invalide quand il couvre plusieurs finalités
En pratique pour une carte de visite digitale :
Quand un prospect remplit votre formulaire de contact, il doit pouvoir consentir séparément à :
- Vous recontacter pour la finalité initiale (commerciale)
- Recevoir vos communications marketing futures
- S’inscrire à votre newsletter
- Voir ses données enrichies via Pappers / Apollo (consentement spécifique)
Stockage requis : un consent ledger versionné, avec timestamp, IP, user-agent, et version du contrat. Révocable d’un clic.
Acteurs qui font ça correctement en 2026 :
- Wavydream : consent ledger granulaire prévu Q3 2026
- Mobilo : variants disponibles aujourd’hui
- Acteurs US : généralement checkbox unique (non-conforme strict).
7. Droits utilisateurs : accès, rectification, effacement, portabilité
Le RGPD donne 5 droits aux personnes concernées (vos prospects qui ont rempli votre formulaire) :
Droit d’accès (Article 15) — la personne peut demander toutes les données que vous détenez sur elle. Droit à la rectification (Article 16) — elle peut demander correction. Droit à l’effacement (Article 17, “droit à l’oubli”) — elle peut demander suppression. Droit à la portabilité (Article 20) — elle peut demander export structuré (JSON, CSV) pour migrer ailleurs. Droit d’opposition (Article 21) — elle peut s’opposer à un traitement marketing.
Délai légal : 30 jours pour répondre. 60 jours en cas de demande complexe.
Comment l’implémenter :
- Endpoint API d’export (
/api/me/data-export) ou demande à un DPO joignable - Endpoint API de suppression avec 30 jours de grâce
- Process documenté côté entreprise
Ce que Wavydream prévoit : endpoints automatisés en Q3 2026. Aujourd’hui : traitement manuel sur demande à contact@wavydream.com, sous 30 jours. Les détails techniques sont sur notre page Sécurité.
8. Checklist de validation en 5 minutes
Devant un fournisseur de carte de visite NFC, posez ces 10 questions :
- Où sont stockées les données ? (réponse attendue : ville et région précise, ex. “Paris, eu-central-1”)
- Avez-vous une filiale ou un sous-traitant aux États-Unis ? (réponse attendue : non, ou si oui, lequel et pour quel rôle)
- Pouvez-vous fournir un DPA Article 28 RGPD ? (réponse attendue : oui, signable électroniquement)
- Où est votre liste publique de sub-processors ? (réponse attendue : URL d’une page, pas “on vous l’envoie sur demande”)
- Notifiez-vous les clients avant un changement de sub-processor ? (réponse attendue : oui, 30 jours avant)
- Votre consentement est-il granulaire ? (réponse attendue : oui, X cases séparées pour X finalités)
- Comment un utilisateur peut-il exercer son droit à l’oubli ? (réponse attendue : depuis son compte OU email vers DPO, traité sous 30 jours)
- Avez-vous un référent données (DPO) joignable ? (réponse attendue : email direct, pas un formulaire générique)
- Quelle est votre durée de conservation par défaut ? (réponse attendue : précise et justifiée, ex. 3 ans pour prospects inactifs)
- Comment notifiez-vous un incident affectant des données ? (réponse attendue : sous 72h conformément à l’Article 33, par email aux clients concernés)
Si le fournisseur hésite, dévie, ou répond “on va vous revenir” à plus de 3 questions sur 10 — ce n’est pas le bon fournisseur pour une entreprise européenne.
9. Que dit la CNIL en 2026 ?
La CNIL (autorité française) et ses homologues européens (Garante en Italie, AEPD en Espagne, DSK en Allemagne) ont publié plusieurs lignes directrices applicables aux SaaS B2B depuis 2023. Les points saillants :
- Lignes directrices “cookies et traceurs” (mises à jour 2024) : applicables aux pixels de tracking embarqués dans les profils digitaux. Consentement obligatoire avant chargement de tout traceur tiers.
- Position commune CEPD 2025 : les SaaS B2B doivent permettre aux clients d’exercer leurs droits utilisateurs en moins de 30 jours, sans frictions.
- Sanctions 2024-2025 : plusieurs amendes RGPD sur des SaaS US (notamment liées aux transferts post-Schrems II) — fourchette 50k€ à 2M€ pour PME, plus pour ETI.
Conclusion pratique : la conformité RGPD n’est plus optionnelle. Les amendes existent, les enquêtes ont lieu, et le risque réputationnel d’un incident est réel.
10. FAQ
Une carte de visite papier est-elle soumise au RGPD ? Non, en tant que support imprimé statique. Mais dès que vous la scannez dans un CRM ou un Excel, le traitement de cette donnée tombe sous RGPD.
Si je n’ai que 24 clients, dois-je avoir un DPA ? Oui. Le RGPD s’applique dès le premier prospect dont vous traitez les données, indépendamment du volume.
Mon outil de carte NFC est hébergé aux US mais m’envoie un DPA. C’est suffisant ? Non. Le DPA est un contrat, mais il ne supprime pas le risque CLOUD Act. Pour un fournisseur US, vérifiez en plus : SCC à jour (post-Schrems II), chiffrement E2E sans clé chez le fournisseur, et acceptez le risque résiduel.
Le RGPD m’oblige-t-il à choisir un fournisseur européen ? Non, strictement non. Mais en pratique, c’est la seule option sans risque juridique persistant pour les données B2B sensibles.
Que se passe-t-il en cas d’incident ? Vous avez 72 heures pour notifier la CNIL (Article 33). Votre fournisseur doit vous notifier en amont — c’est dans le DPA. Si vous ne notifiez pas dans les 72h, vous êtes en infraction (amende possible jusqu’à 2 % du CA mondial).
Combien coûte un DPA personnalisé ? Chez les bons fournisseurs : 0 €. C’est inclus dans l’offre. Méfiez-vous des fournisseurs qui facturent l’établissement d’un DPA — c’est un signal qu’ils ne sont pas équipés pour le marché européen.
Wavydream est-il conforme aujourd’hui ? Hébergement et juridiction : oui (Paris, société luxembourgeoise). DPA simplifié : disponible sur demande. DPA personnalisé auto-généré : Q3 2026. Consent ledger granulaire : Q3 2026. La conformité progresse selon la roadmap publique de Wavydream.
Pour aller plus loin
- Page Sécurité Wavydream — détails techniques, sub-processors, contact DPO
- Wavydream — l’offre Entreprises — dashboard manager, audit log, EU Trust Stack
- Carte de visite NFC : le guide complet 2026
- Wavydream vs Popl — comparatif honnête
Sources : RGPD (UE 2016/679), arrêts CJUE Planet49 (2019) et Schrems II (2020), lignes directrices CNIL 2024-2025, CEPD position commune 2025, CLOUD Act 2018.
Note de transparence : ce guide est publié par Wavydream, acteur du marché. Nous avons fait notre maximum pour rester factuels sur les exigences RGPD et neutres sur la comparaison des acteurs, mais notre positionnement européen est un argument que nous mettons en avant. Croisez avec des sources tierces (CNIL.fr, blog ePrivacy de la Quadrature du Net) pour une vue indépendante.